曲速未來(lái)披露:新威脅組織DarkHydrus針對(duì)中東政府發(fā)起釣魚(yú)攻擊區(qū)塊鏈
曲速區(qū):據(jù)研究人員發(fā)現(xiàn)一起基于新型文件類(lèi)型(.iqy)的有針對(duì)性的攻擊活動(dòng),至少有一個(gè)位于中東地區(qū)的政府機(jī)構(gòu)被作為了攻擊目標(biāo)。
據(jù)研究人員發(fā)現(xiàn)一起基于新型文件類(lèi)型(.iqy)的有針對(duì)性的攻擊活動(dòng),至少有一個(gè)位于中東地區(qū)的政府機(jī)構(gòu)被作為了攻擊目標(biāo)。本文對(duì)其進(jìn)行分析:
DarkHydrus使用含有密碼保護(hù)的.RAR文件的魚(yú)叉式釣魚(yú)郵件來(lái)感染目標(biāo)。.RAR文件含有一個(gè)含有URL的.IQY文件,IQY文件是Excel Internet Query file。默認(rèn)情況下,當(dāng)Excel打開(kāi)并執(zhí)行IQY文件后,Excel會(huì)從IQY中的URL處提取內(nèi)容,直到出現(xiàn)彈窗告警為止。下面先看一下IQY文件:
當(dāng)IQY文件執(zhí)行時(shí),Excel會(huì)從url的web服務(wù)器上獲取一個(gè)releasenotes.txt文件。下面看一下IQY文件執(zhí)行時(shí)的動(dòng)態(tài)分析:
在文件執(zhí)行時(shí),Excel會(huì)彈出運(yùn)行iqy文件可能會(huì)存在的安全威脅告警消息,點(diǎn)擊Enable(開(kāi)啟)后才可以繼續(xù)運(yùn)行。
但是,在這次的攻擊活動(dòng)中,該組似乎使用了我們稱(chēng)為RogueRobin的基于PowerShell的自定義有效負(fù)載。
攻擊分析
攻擊者在7月15日到16日之間發(fā)送了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件。每封電子郵件都附帶有一個(gè)受密碼保護(hù)的RAR壓縮包文件,名為“credential.rar”。如下圖所示,電子郵件的正文是采用阿拉伯文編寫(xiě)的,要求收件人解壓RAR壓縮包并查看其中名為credential.iqy的文檔,該消息同時(shí)附錄了打開(kāi)RAR存檔所需的密碼123456。而RAR文件則包含一個(gè)惡意的. iqy文件,名為“credential.iqy”。
圖1釣魚(yú)電子郵件中的郵件正文
翻譯這些阿拉伯文含義為:
你好
請(qǐng)查收并查看附件
非常感謝
密碼:123456
有效負(fù)載分析
惡意載荷credential.iqy的SHA256為:
cc1966eff7bed11c1faada0bb0ed0c8715404abd936cfa816cef61863a0c1dd6
這個(gè).iqy文件將默認(rèn)由Microsoft Excel打開(kāi)。一旦打開(kāi),它將在使用文件中的URL獲取遠(yuǎn)程數(shù)據(jù),并保存在工作表中。 默認(rèn)情況下,Microsoft Excel不允許從遠(yuǎn)程服務(wù)器下載數(shù)據(jù),會(huì)通過(guò)顯示對(duì)話框詢(xún)問(wèn)用戶(hù)的同意:
打開(kāi).iqy文件彈出的安全通知
通過(guò)啟用此數(shù)據(jù)連接,用戶(hù)允許Excel從.iqy文件中的URL里獲取內(nèi)容。那么包含在releasenotes.txt文件的公式Excel將其保存到工作表中的“A0”單元格。
看一下releasenotes.txt的內(nèi)容:
該公式會(huì)使用命令提示符運(yùn)行PowerShell腳本,而該腳本嘗試下載并執(zhí)行在URL: http:// micrrosoft .net / winupdate.ps1上托管的第二個(gè)PowerShell腳本。 同樣的,Excel不會(huì)直接執(zhí)行命令,但會(huì)在用戶(hù)同意后通過(guò)以下對(duì)話框后執(zhí)行此操作:
用于確認(rèn)遠(yuǎn)程數(shù)據(jù)訪問(wèn)的對(duì)話框
這個(gè)名為winupdate.ps1的腳本就是我們稱(chēng)之為“RogueRobin”的負(fù)責(zé)進(jìn)行攻擊的主要有效負(fù)載。
已有研究人員找出了惡意軟件使用的反分析方法,保存在Sandbox()函數(shù)中:
釣魚(yú)郵件
還有一些網(wǎng)絡(luò)攻擊者會(huì)攜帶惡意附件的網(wǎng)絡(luò)釣魚(yú)電子郵件,而主要是針對(duì)與工業(yè)生產(chǎn)相關(guān)的公司和組織。
網(wǎng)絡(luò)釣魚(yú)電子郵件偽裝成合法的商業(yè)報(bào)價(jià),主要發(fā)送給位于俄羅斯的工業(yè)公司。每封電子郵件的內(nèi)容都反映了受攻擊機(jī)構(gòu)的活動(dòng)以及接收電子郵件的員工的工作類(lèi)型。
這些攻擊中使用的惡意軟件安裝了合法的遠(yuǎn)程管理軟件——TeamViewer或Remote Manipulator System / Remote Utilities(RMS)。這使攻擊者能夠遠(yuǎn)程控制受感染的系統(tǒng)。網(wǎng)絡(luò)攻擊者使用各種技術(shù)來(lái)屏蔽系統(tǒng)中安裝的惡意軟件的感染和活動(dòng)。
在大多數(shù)情況下,釣魚(yú)電子郵件都有與財(cái)務(wù)相關(guān)的內(nèi)容;附件的名稱(chēng)也表明它們與財(cái)務(wù)有關(guān)。具體來(lái)說(shuō),一些電子郵件聲稱(chēng)是大型工業(yè)公司的招標(biāo)邀請(qǐng)。
惡意附件可能會(huì)被打包到壓縮包中。某些電子郵件沒(méi)有附件,在這種情況下,郵件文本旨在引誘用戶(hù)點(diǎn)擊鏈接,從而導(dǎo)入外部資源并從這些資源下載惡意對(duì)象。
以下是針對(duì)某些機(jī)構(gòu)的攻擊中使用的網(wǎng)絡(luò)釣魚(yú)電子郵件示例:
釣魚(yú)郵件截圖
上述電子郵件是代表一家知名的工業(yè)組織發(fā)送的。發(fā)送郵件的服務(wù)器域名類(lèi)似于該組織官方網(wǎng)站的域名。電子郵件附有一個(gè)壓縮包,壓縮包受密碼保護(hù),密碼可以在郵件正文中找到。
總結(jié):
曲速未來(lái)安全區(qū)表明:即使使用簡(jiǎn)單的技術(shù)和已知的惡意軟件,威脅行為者也可以通過(guò)熟練的使用一些合法的遠(yuǎn)程管理軟件來(lái)掩蓋惡意代碼來(lái)完成攻擊。遠(yuǎn)程管理功能使犯罪分子能夠完全控制受感染系統(tǒng),因此攻擊方案不僅限于盜竊金錢(qián)。
曲速未來(lái)實(shí)驗(yàn)室提醒:建議避免打開(kāi)您收到不需要的電子郵件,并且不打開(kāi)來(lái)自未知發(fā)件人的電子郵件附件。我們強(qiáng)烈建議您仔細(xì)分析您收到的不需要的電子郵件,并且不要從未知發(fā)件人下載電子郵件附件。 惡意軟件可以在網(wǎng)絡(luò)上以多種形式偽裝自己,所需的只是一次點(diǎn)擊來(lái)觸發(fā)感染。
本文內(nèi)容來(lái)自微信公眾號(hào)【曲速未來(lái)安全區(qū)】想要了解更多區(qū)塊鏈知識(shí),那就趕緊關(guān)注吧。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
